Amazon SES und Sicherheitsprotokolle - Amazon Simple Email Service

Amazon SES und Sicherheitsprotokolle

In diesem Thema werden die Sicherheitsprotokolle beschrieben, die Sie verwenden können, wenn Sie eine Verbindung mit Amazon SES herstellen, sowie wenn Amazon SES eine E-Mail an einen Empfänger übermittelt.

E-Mail-Sender an Amazon SES

Welches Sicherheitsprotokoll Sie verwenden, um eine Verbindung mit Amazon SES herzustellen, hängt davon ab, ob Sie die Amazon SES-API- oder die Amazon SES-SMTP-Schnittstelle verwenden, wie im Folgenden beschrieben.

HTTPS

Wenn Sie die Amazon SES-API (entweder direkt oder über ein AWS-SDK) verwenden, wird die gesamte Kommunikation mit TLS über den HTTPS-Endpunkt von Amazon SES verschlüsselt. Der HTTPS-Endpunkt von Amazon SES unterstützt TLS 1.2, TLS 1.1 und TLS 1.0.

SMTP-Schnittstelle

Wenn Sie auf Amazon SES über die SMTP-Schnittstelle zugreifen, müssen Sie Ihre Verbindung mit Transport Layer Security (TLS) verschlüsseln. Beachten Sie, dass TLS häufig mit dem Namen des Vorgängerprotokolls, Secure Sockets Layer (SSL), bezeichnet wird.

Amazon SES unterstützt zwei Mechanismen zum Einrichten einer TLS-verschlüsselten Verbindung: STARTTLS und TLS Wrapper.

  • STARTTLS – STARTTLS ist ein Verfahren zum Upgraden einer unverschlüsselten Verbindung zu einer verschlüsselten Verbindung. Es stehen Versionen von STARTTLS für eine Reihe von Protokollen zur Verfügung. Die SMTP-Version ist in RFC 3207 definiert. Für STARTTLS-Verbindungen unterstützt Amazon SES TLS 1.2, TLS 1.1, TLS 1.0 und SSLv2Hello.

  • TLS Wrapper – TLS Wrapper (auch bekannt als SMTPS oder Handshake Protocol) ist ein Verfahren zum Initiieren einer verschlüsselten Verbindung, ohne zuvor eine unverschlüsselte Verbindung herzustellen. Bei TLS Wrapper werden vom Amazon SES-SMTP-Endpunkt keine TLS-Aushandlungen durchgeführt. Es liegt in der Verantwortung des Clients, eine Verbindung mit dem Endpunkt über TLS herzustellen und TLS dann für die gesamte Konversation weiterzuverwenden. TLS Wrapper ist ein älteres Protokoll, wird jedoch von vielen Clients weiterhin unterstützt. Für TLS Wrapper-Verbindungen unterstützt Amazon SES TLS 1.2, TLS 1.1 und TLS 1.0.

Weitere Informationen zum Herstellen einer Verbindung mit der SMTP-Schnittstelle von Amazon SES mithilfe dieser Methoden finden Sie unter Herstellen einer Verbindung mit einem Amazon SES-SMTP-Endpunkt.

Amazon SES an Receiver

Amazon SES unterstützt für TLS-Verbindungen TLS 1.2, TLS 1.1 und TLS 1.0.

Amazon SES verwendet standardmäßig opportunistisches TLS. Das bedeutet, dass Amazon SES immer versucht, eine sichere Verbindung mit dem empfangenden Mail-Server herzustellen. Wenn Amazon SES keine sichere Verbindung herstellen kann, wird die Nachricht unverschlüsselt gesendet.

Sie können dieses Verhalten ändern, indem Sie Konfigurationssätze verwenden. Stellen Sie mithilfe der API-Operation PutConfigurationSetDeliveryOptions die Eigenschaft TlsPolicy für einen Konfigurationssatz auf Require ein. Sie können zur Vornahme dieser Änderung die AWS CLI verwenden.

So konfigurieren Sie Amazon SES zum Vorschreiben von TLS-Verbindungen für einen Konfigurationssatz

  • Geben Sie in der Befehlszeile folgenden Befehl ein:

    aws ses put-configuration-set-delivery-options --configuration-set-name MyConfigurationSet --delivery-options TlsPolicy=Require

    Im vorherigen Beispiel ersetzen Sie MyConfigurationSet durch den Namen des Konfigurationssatzes.

    Wenn Sie unter Verwendung dieses Konfigurationssatzes eine E-Mail senden, sendet Amazon SES nur die Nachricht nur dann zum empfangenden E-Mail-Server, wenn eine sichere Verbindung hergestellt werden kann. Wenn Amazon SES keine sichere Verbindung mit dem empfangenden E-Mail-Server herstellen kann, wird die Nachricht verworfen wird.

End-to-End-Verschlüsselung

Sie können mit Amazon SES Nachrichten senden, die mit S/MIME oder PGP verschlüsselt wurden. Nachrichten, die diese Protokolle verwenden, werden vom Sender verschlüsselt. Ihre Inhalte können nur von Empfängern angezeigt werden, die die öffentlichen Schlüssel besitzen, die zum Entschlüsseln der Nachrichten erforderlich sind.

Amazon SES unterstützt die folgenden MIME-Typen, mit denen Sie S/MIME-verschlüsselte E-Mails senden können:

  • application/pkcs7-mime

  • application/pkcs7-signature

  • application/x-pkcs7-mime

  • application/x-pkcs7-signature

Amazon SES unterstützt außerdem die folgenden MIME-Typen, mit denen Sie PGP-verschlüsselte E-Mails senden können:

  • application/pgp-encrypted

  • application/pgp-keys

  • application/pgp-signature